Parmi les nombreuses obligations, \u00e0 destination des entreprises, issues du R\u00e8glement G\u00e9n\u00e9ral pour la Protection des Donn\u00e9es, il y en a une dont Rapidata GmbH, une petite entreprise allemande d\u2019informatique se souviendra longtemps.<\/p>\n\n\n\n
Ce 9 d\u00e9cembre dernier, l\u2019autorit\u00e9 de la protection des donn\u00e9es allemandes, le BfDI, a en effet d\u00e9cid\u00e9 de passer \u00e0 l\u2019action et d\u2019infliger une amende de 10.000 euros \u00e0 la soci\u00e9t\u00e9 pour avoir manqu\u00e9 \u00e0 son obligation de nommer un D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (Data Protection Officer ou DPO en anglais) malgr\u00e9 plusieurs rappels de l\u2019autorit\u00e9.<\/p>\n\n\n\n
Si l\u2019amende peut sembler l\u00e9g\u00e8re au vu des montants astronomiques pr\u00e9sents dans les textes, il faut savoir que celle-ci est proportionnelle \u00e0 la petite taille de l\u2019entreprise (80.000 euros de Ch. Aff. en 2017). En effet, dans la m\u00eame d\u00e9cision, le BfDI annonce aussi une amende de 9.550.000 d\u2019euros pour 1&1 Telecom GmbH , une entreprise de t\u00e9l\u00e9communication allemande qui ne s\u00e9curisait pas suffisamment les donn\u00e9es de ses clients. L\u2019autorit\u00e9 pr\u00e9cise cependant que, gr\u00e2ce \u00e0 la coop\u00e9ration compl\u00e8te de l\u2019entreprise, le montant de l\u2019amende, originalement plus \u00e9lev\u00e9, a \u00e9t\u00e9 rabaiss\u00e9 pour n\u2019\u00eatre \u00ab que \u00bb de 10 millions d\u2019euros.<\/p>\n\n\n\n
Nommer un DPO est-il toujours une obligation ? <\/strong><\/p>\n\n\n\n L\u2019une des raisons principales de l\u2019absence de DPO dans la plupart des entreprises soumises \u00e0 l\u2019obligation est g\u00e9n\u00e9ralement due \u00e0 une mauvaise compr\u00e9hension de la loi plut\u00f4t qu\u2019\u00e0 une volont\u00e9 d\u2019enfreindre cette derni\u00e8re. Les nombreux crit\u00e8res et exceptions pr\u00e9sents dans le texte ne facilitant pas la t\u00e2che aux non-initi\u00e9s\u2026<\/p>\n\n\n\n Certaines entreprises et organismes sont toujours soumis \u00e0 cette obligation, on parle ici des institutions et organismes publiques et des entreprises traitant de donn\u00e9es sensibles comme les donn\u00e9es m\u00e9dicales ou biom\u00e9triques. Qu’est-ce qu’un traitement \u00e0 grande \u00e9chelle? <\/strong><\/p>\n\n\n\n A nouveau, les d\u00e9finitions du texte l\u00e9gal sont de peu de secours aux entreprises cherchant \u00e0 \u00e9valuer leurs obligations. La notion de \u00ab Grande \u00e9chelle \u00bb n\u2019est pas d\u00e9finie dans les textes. A partir de combien de clients l\u2019obligation prend-elle cours ? Doit-on d\u2019ailleurs parler de nombre de personnes touch\u00e9es par les traitements ou du nombre d\u2019informations trait\u00e9es sur chacune d\u2019entre-elles ? Aucun chiffre concret n\u2019existe actuellement et l\u2019\u00e9valuation s\u2019effectue g\u00e9n\u00e9ralement au cas par cas.<\/p>\n\n\n\n Le groupe de travail article 29 \u00e9voque plusieurs cas concrets ou le DPO est obligatoire comme pour \u00ab\u00a0le traitement \u00e0 des fins statistiques de donn\u00e9es de localisation actuelles de clients d’une cha\u00eene de restauration rapide internationale par un sous-traitant sp\u00e9cialis\u00e9 dans ces services\u00a0\u00bb ou \u00ab\u00a0le traitement de donn\u00e9es de clients dans le cadre des activit\u00e9s courantes d’une compagnie d’assurance ou d’une banque\u00a0\u00bb. L’on comprend \u00e9videmment qu’entre la cha\u00eene de restauration internationale et le cabinet de m\u00e9decin unipersonnel, une multitude d’entreprises et d’institutions de toutes tailles se retrouvent sans r\u00e9ponse concr\u00e8te sur leur obligation ou non de nommer un DPO. <\/p>\n\n\n\n L’Autorit\u00e9 de Protection des Donn\u00e9es belge recommande \u00e9videment \u00e0 toutes les entreprises et institutions de nommer un DPO dans une optique de \u00ab\u00a0Best Practice\u00a0\u00bb mais la pratique et la doctrine devront continuer \u00e0 d\u00e9battre de la question avant que l’APD ne puisse publier des \u00ab\u00a0guidelines\u00a0\u00bb plus claires. Pour plus d\u2019informations sur le RGPD, sur la protection des donn\u00e9es ou sur l\u2019impact de ces nouveaux r\u00e8glements sur votre entreprise, n\u2019h\u00e9sitez pas \u00e0 nous contacter ou \u00e0 nous rencontrer lors d\u2019une entrevue sans engagements : https:\/\/digi-lex.be\/index.php\/contact\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Les sanctions peuvent vite grimper. Nommer un DPO est-il toujours une obligation? Qu’est-ce qu’un traitement \u00e0 grande \u00e9chelle? <\/p>\n","protected":false},"author":1,"featured_media":793,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36,72,37],"tags":[75,73,74,25,76,28,24,35],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/936"}],"collection":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/comments?post=936"}],"version-history":[{"count":3,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/936\/revisions"}],"predecessor-version":[{"id":942,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/936\/revisions\/942"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/media\/793"}],"wp:attachment":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/media?parent=936"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/categories?post=936"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/tags?post=936"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
D\u00e9j\u00e0 sur ce point les d\u00e9finitions se font larges : en Belgique sont consid\u00e9r\u00e9s comme organismes publiques non seulement les acteurs \u00e9vidents, comme l’administration r\u00e9gionale ou communale, mais aussi tout organisme d\u2019int\u00e9r\u00eat public et majoritairement subventionn\u00e9 ou contr\u00f4l\u00e9 par l’administration publique. On retrouve donc dans cette cat\u00e9gorie la grande majorit\u00e9 des ASBL g\u00e9r\u00e9es par des particuliers mais subventionn\u00e9es par les communes ou les r\u00e9gions.
Pour les entreprises qui traitent des donn\u00e9es plus anodines de leurs clients, l’obligation peut d\u00e9marrer \u00e0 partir du moment o\u00f9 celles-ci sont trait\u00e9es de fa\u00e7on r\u00e9guli\u00e8re, syst\u00e9matique et \u00e0 grande \u00e9chelle. <\/p>\n\n\n\n
Il exempte par ailleurs de cette obligation plusieurs cas comme \u00ab\u00a0le traitement de donn\u00e9es de patients par un m\u00e9decin individuel\u00a0\u00bb ou \u00ab\u00a0le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 des condamnations et infractions par un avocat individuel.\u00a0\u00bb<\/p>\n\n\n\n
Retrouvez les r\u00e9ponses de l’APD aux questions les plus couramment pos\u00e9es autour de l’obligation de nommer un DPO sur : https:\/\/www.autoriteprotectiondonnees.be\/faq-themas\/quand-d%C3%A9signer-un-d%C3%A9l%C3%A9gu%C3%A9-%C3%A0-la-protection-des-donn%C3%A9es<\/a> <\/p>\n\n\n\n